사전 요구 사항
- 사용자가 제공한 인증서를 서명한 CA에서 루트 인증서와 중간 인증서를 가져옵니다.
- (선택 사항) 인증서 인증을 위한 유효한 인증서 정책의 OID(개체 식별자) 목록.
- (선택 사항) 해지 검사를 위해 CRL을 설정합니다.
- (선택 사항) 해지 검사를 위해 OCSP 서버를 설정하고 OCSP 응답자 URL을 확인합니다. 해지 검사를 위해 OCSP 서버를 사용하도록 설정한 경우 사용하도록 설정하기 전에 OCSP 서버가 올바르게 작동하는지 확인합니다.
- (선택 사항) OCSP 응답 서명 인증서 파일 위치.
- 동의 양식 컨텐츠(인증 전에 사용자에게 동의 양식을 표시해야 하는 경우).
프로시저
- Workspace ONE Access 콘솔의 페이지에서 인증서(클라우드 배포)를 선택합니다.
- 구성을 클릭하고 인증서 인증 설정을 구성합니다.
- 인증서를 업로드합니다.
설정 설명 인증서 어댑터 사용 인증서 인증을 사용하도록 설정하려면 인증서 어댑터 사용 토글을 활성화합니다. 루트 및 중간 CA 인증서 업로드할 인증서 파일을 선택합니다. DER 또는 PEM으로 인코딩된 여러 루트 CA 및 중간 CA 인증서를 선택할 수 있습니다. 업로드된 CA 인증서 업로드된 인증서 파일이 양식의 [업로드된 CA 인증서] 섹션에 나열됩니다. - [사용자 식별자 검색 순서]를 선택하여 인증서에서 사용자 식별자를 찾습니다.
Workspace ONE Access에서 인증서 인증에 사용자 계정 이름 사용의 내용을 참조하십시오.
설정 설명 사용자 식별자 검색 순서 인증서에서 사용자 식별자를 찾기 위한 검색 순서를 선택합니다.
- upn. 주체 대체 이름의 UserPrincipalName 값
- 이메일. 주체 대체 이름의 이메일 주소.
- 주체. 주체의 UID 값. UID를 주체 DN에서 찾을 수 없는 경우 CN 텍스트 상자가 구성되어 있으면 CN 텍스트 상자의 UID 값이 사용됩니다.
UPN 형식 유효성 검사 UserPrincipalName 형식의 유효성을 검사하려면 이 설정을 예로 전환합니다. - 요청 시간 초과. 응답을 대기하는 시간(초)을 입력합니다. 0 값은 응답 대기 시간이 무기한임을 의미합니다.
- 수락된 인증서 정책. 인증서 정책 확장에서 수락된 OID(개체 식별자) 목록을 생성합니다. 인증서 발급 정책에 대한 개체 식별자 번호를 입력합니다. 추가를 클릭하여 더 많은 OID를 추가합니다.
- 인증서 해지 검사를 구성하려면 인증서 해지 사용 토글을 활성화합니다. 해지 검사는 사용자 인증서를 해지한 사용자의 인증을 방지합니다.
CRL(인증서 해지 목록) 및 OCSP(온라인 인증서 상태 프로토콜) 해지 검사가 모두 지원됩니다.
Workspace ONE Access에서 인증서 인증에 대해 인증서 해지 검사의 내용을 참조하십시오.
CRL만 해지 검사용으로 구성
CRL은 인증서를 발행한 CA에서 게시한 해지된 인증서 목록입니다. 해지를 위해 인증서의 CRL 사용을 사용하도록 설정한 경우 Workspace ONE Access 서버는 CRL을 읽어서 사용자 인증서의 해지 상태를 확인합니다. 인증서가 해지된 경우 인증서를 통한 인증이 실패합니다.
해지 검사에 사용할 CRL URL을 구성합니다. 인증서에서 URL을 활성화하거나 [CRL 위치] 텍스트 상자에 CRL URL을 입력할 수 있습니다. URL은 인증서 자체의 CRL 필드에서 가져옵니다.
옵션 설명 [인증서의 CRL 사용] 토글을 활성화하고 [CRL 위치] 설정에서 값을 설정하지 않습니다. 인증서의 CRL 사용 토글을 활성화하면 인증서의 CRL 필드에서 CRL(인증서 해지 목록)을 가져옵니다.
참고: CRL 위치 설정 값에 값이 있으면 이 구성에서 무시됩니다.CRL 위치를 설정합니다. CRL 위치를 설정하는 경우 [인증서의 CRL 사용] 토글을 활성화하지 마십시오. 인증서의 상태를 검증하는 데 사용되는 CRL을 검색할 CRL URL을 입력합니다. 참고: 인증서의 CRL 사용 토글이 이 구성에서 활성화되지 않았습니다.OCSP만 해지 검사용으로 구성
해지 검사에 OCSP만 사용하려면 다음 설정을 구성합니다.
참고: Workspace ONE Access에서 AirWatch 인증 기관을 사용하는 경우 해지 검사를 위해 OCSP를 사용하도록 설정합니다. 인증서의 CRL 사용 설정을 사용하도록 설정하거나 CRL 위치 텍스트 상자에 URL 값을 입력하지 마십시오.설정 설명 OCSP 해지 사용 OCSP(온라인 인증서 상태 프로토콜) 인증서 검증 프로토콜을 사용하여 인증서의 해지 상태를 가져오려면 OCSP 해지 사용 토글을 활성화합니다. OCSP Nonce 전송 OCSP Nonce는 재생 공격을 방지하기 위해 OCSP 응답 메시지를 특정 OCSP 요청 메시지에 암호화적으로 바인딩하는 데 사용되는 고유 식별자입니다.
OCSP 요청의 고유 식별자를 사용하여 인증서의 유효성을 검사하려면 OCSP Nonce 전송 토글을 활성화합니다.
OCSP URL OCSP URL은 OCSP URL 텍스트 상자에서 수동으로 구성하거나, 유효성을 검사하는 인증서의 AIA(Authority Information Access) 확장에서 추출할 수 있습니다.
OCSAP URL을 수동으로 설정하려면 해지 검사 서버에 대한 OCSP URL을 입력합니다.
OCSP URL 소스 인증서 인증을 구성할 때 선택한 OCSP 옵션에 따라 Workspace ONE Access에서 OCSP URL을 획득하는 방법이 결정됩니다.
드롭다운 메뉴에서 해지 검사에 사용할 소스를 선택합니다.
- 구성만. 전체 인증서 체인이 유효한지 검사하려면 텍스트 상자에 제공된 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다. 해지 검사를 위해서는 OCSP URL 텍스트 상자도 OCSP 서버 주소로 구성해야 합니다.
- 인증서만(필수). 체인에 있는 각 인증서의 AIA 확장에 존재하는 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다. 체인에 있는 모든 인증서에 OCSP URL이 정의되어야 하며, 그렇지 않은 경우 인증서 해지 검사가 실패합니다.
참고: AirWatch CA를 사용하는 경우 소스로 인증서만(필수)을 선택합니다.
- 인증서만(선택 사항). 인증서의 AIA 확장에 존재하는 OCSP URL을 사용하여 인증서 해지 검사만 수행합니다. OCSP URL이 인증서 AIA 확장에 존재하지 않는 경우 해지를 검사하지 않습니다. OCSP URL 텍스트 상자의 설정은 무시됩니다.
- 구성에 대한 폴백이 포함된 인증서. OCSP URL을 사용할 수 있는 경우, 체인에 있는 각 인증서의 AIA 확장에서 추출된 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다. OCSP URL이 AIA 확장에 없는 경우 OCSP URL 텍스트 상자에 구성된 OCSP URL을 사용하여 해지를 검사합니다. OCSP URL 텍스트 상자는 OCSP 서버 주소로 구성되어야 합니다.
OCSP 응답자의 서명 인증서 응답자의 OCSP 인증서 파일을 검색하고 선택합니다. OCSP 서명 인증서 업로드 업로드된 OCSP 서명 인증서 파일이 이 섹션에 나열됩니다. 해지 검사를 위해 CRL 및 OCSP 모두 구성
해지 검사에 CRL 및 OCSP를 모두 사용하려면 CRL 및 OCSP 해지 검사에 대한 설정을 구성하고 OCSP 실패 시 CRL 사용 토글을 활성화합니다.
이 설정이 활성화되면 OCSP가 먼저 검사되고 OCSP가 실패하면 해지 검사가 CRL로 폴백됩니다. CRL이 실패해도 해지 검사 중에 OCSP로 폴백되지 않습니다. - 인증 전 동의 양식 사용. 사용자가 인증서 인증을 사용하여 Workspace ONE 포털에 로그인하기 전에 표시할 동의 양식 페이지를 포함하려면 이 확인란을 선택합니다. 동의 양식 컨텐츠 텍스트 상자에 동의 양식에 표시되는 텍스트를 입력합니다.
- 인증서를 업로드합니다.
- 저장을 클릭합니다.
다음에 수행할 작업
- 내장 ID 제공자에서 인증서(클라우드 배포) 인증 방법을 연결합니다. Workspace ONE Access에서 내장 ID 제공자 구성의 내용을 참조하십시오.
- 기본 제공 ID 제공자에서 인증서 인증 방법을 연결한 후 인증 방법을 기본 액세스 정책에 추가합니다. Workspace ONE Access 서비스에서 액세스 정책 관리의 내용을 참조하십시오.